组策略使运行 Windows Server 和 Windows 客户端操作系统的计算机上的用户和计算机设置的配置和管理成为可能。 除了使用组策略为用户组和客户端计算机定义配置外,还可以使用组策略通过配置许多特定于服务器的作和安全设置来帮助管理服务器计算机。
什么是组策略
组策略可以在文件系统本地或 Active Directory 域服务(AD DS)中表示策略设置。 与 Active Directory(AD)一起使用时,组策略设置包含在组策略对象(GPO)中。 GPO 是策略设置、安全权限和管理范围(SOM)的虚拟集合,可应用于 AD 中的用户和计算机。 GPO 由两个主要组件组成:组策略容器和组策略模板。 组策略容器存储在 Active Directory 的域分区中,而组策略模板位于每个域控制器 (DC) 上的 SYSVOL 文件夹中。
这些组件通过 AD 复制和文件复制服务(FRS)或分布式文件系统复制(DFSR)在 DC 之间复制。
GPO 包含计算机设置和用户设置的配置。 计算机配置应用于整个系统,并对设置进行管理,例如电源管理和防火墙规则。 用户配置仅影响当前用户,其中包含 Internet Explorer 设置和文件夹重定向等选项。 GPO 可以链接到 AD 层次结构中的各种级别,例如站点、域和组织单位(OU),用于定义其应用程序范围。
策略设置在计算机启动和用户登录时应用。 组策略服务通过查询 AD,根据站点、域和 OU 成员身份来确定适用的 GPO。 A Client-side extension (CSE) applies the specific settings dictated by the GPOs, managing tasks like registry updates and security configurations. 策略设置在启动时应用于计算机,并在用户登录时应用于用户。 计算机启动时,组策略服务会检查 AD 以确定哪些 GPO 已链接并适用于计算机对象,包括:
计算机所在的站点。
计算机所属的域。
计算机直接所属的父级组织单位以及父级组织单位之上的所有其他组织单位。
组策略首选项提供与标准组策略类似的管理功能,并采用相同的方式进行管理。 管理员可以使用本地组策略编辑器(gpedit.msc)为本地设置创建和管理 GPO,或者在 AD 相关的 MMC 管理单元中使用组策略对象编辑器为域全局设置创建和管理 GPO。 每个 GPO 都具有全局唯一标识符(GUID),并遵循 AD 的分层结构进行策略评估。 全面了解如何在 AD 中创建、修改和链接 GPO 对于有效的策略管理至关重要。 GPO 存储在每个 DC 上的 AD 和 SYSVOL 文件夹中,有助于集中管理和策略实施。
Client-side extensions
组策略 CSE 是一个独立组件,负责处理组策略基础结构传递的特定策略设置。 每个 CSE 都以自己的特定格式管理并存储其策略数据,而组策略基础结构不解释或管理此数据的详细信息。 组策略的主要功能是将设置传输到计算机;并且每个 CSE 从多个组策略对象中应用其策略设置的一部分。
假设组策略基础结构是库系统。 图书馆系统管理书籍(或数据)并将其传送到各种分支(计算机)。 图书馆不需要了解每本书的内容;它只是确保正确的书到达正确的分支。 在此类比中,组策略服务类似于图书馆系统,提供书籍而不了解其内容。 各种策略设置类似于不同的流派或书籍集合。 组策略 CSE 在每个分支中代表一名图书管理员,该图书管理员熟悉如何管理其特定的集合。 正如每个图书馆员都能够管理他们的馆藏一样,每个 CSE 都会读取其特定的策略设置信息,并根据这些设置中找到的内容执行操作。
组策略的工作原理
对于计算机,在计算机启动时应用组策略。 对于用户,组策略在登录时应用。 此策略的初始处理也称为前台策略应用程序。
组策略的前景应用程序可以是同步的,也可以是异步的。 在同步模式下,计算机在成功应用计算机策略之前不会完成系统启动。 在成功应用用户策略之前,用户登录过程不会完成。 在异步模式下,如果没有需要同步处理的策略更改,计算机可以在计算机策略应用程序完成之前完成启动顺序。 在用户策略应用程序完成之前,可以向用户提供 shell。 然后,系统会在后台定期应用(刷新)组策略。 刷新期间,策略设置将异步应用。
若要详细了解组策略的工作原理,请参阅 组策略处理。
什么是 OU
OU 是可向其分配组策略设置的最低级别 AD 容器。 通常,在 OU 级别分配大多数 GPO,因此请确保 OU 结构支持基于组策略的客户端管理策略。 还可以在域级别应用一些组策略设置,尤其是密码策略。 站点级别应用了很少的策略设置。 设计良好的 OU 结构,可以反映组织的管理结构,并利用 GPO 的继承来简化组策略的应用。 例如,设计良好的 OU 结构可以防止复制某些 GPO,以便将这些 GPO 应用于组织的不同部分。 如果可能,请创建组织单元,以便委派管理权限并协助实施组策略。
OU 设计需要在委托独立于组策略需求的管理权限和设定组策略应用范围之间取得平衡。 可以在域中创建 OU,并将特定 OU 的管理控制权委派给特定用户或组。 通过使用 OU 包含同质对象(例如用户对象或计算机对象)的结构,可以轻松地禁用不适用于特定类型的对象的 GPO 的这些部分。 此 OU 设计方法可降低复杂性并提高组策略应用速度。 默认情况下,较低层的 OU 会继承链接到上层的 GPO,从而减少了复制 GPO 或将 GPO 链接到多个容器的需求。